网络配置 配置网络接口
FortiGate-1000 安装和配置指南
113配置对一个连接到互联网的接口的管理访问方式将允许从互联网中的任何地方对这个
FortiGate 设备进行远程管理。允许来自互联网的对您的 FortiGate设备的 远程管理可
能会危及您的设备的安全性。您应当禁止对连接到互联网的网络接口的管理访问的许
可,除非这是必须的。要提高允许从互联网访问的 FortiGate 设备的安全性,需要为
有管理权限的用户设置安全的密码,定期更换这些密码,并且只启用 HTTPS 或SSH 的
安全管理访问。
4单击确定以保存您所做的修改。
为接口的连接配置通讯日志1进入 系统 >网络 >通讯。
2在要配置日志的接口上单击修改 。
3单击日志以将这个接口设置为某个防火墙策略接收连接时记录日志消息。
4单击确定以保存您所做的修改。
修改外部网络接口的 MTU 大小以提高网络性能为了提高互联网连接的性能,可以调整FortiGate 单元在外部网络接口上传输数
据时数据包的最大传输单元(MTU)的尺寸。理想情况下,FortiGate 单元的外部网络
接口上的MTU 的尺寸应该等于从 FortiGate 单元到互联网所经过的所有网络中最小的
MTU 的尺寸。如果 FortiGate 单元发送的 MTU 大于这一尺寸,数据包在传输过程中将
被分割成碎片,这将减慢传输速度。
只有一种方法能够找出最优的 MTU 尺寸,那就是反复实验。但是也有一些指导方
法能对我们提供帮助。例如,多数点对点协议 (PPP)连接的 MTU 是576,所以如果您
是通过PPP 或者 PPPoE 连接到互联网的,您可以试试将MTU 的尺寸设为576。DSL 调制
解调器使用很小的MTU 尺寸。大多数以太网使用的 MTU 是1500。
以下操作将改变从外部网络接口发出的数据包的 MTU 尺寸:
1进入 系统 > 网络 > 接口。
2对外部网络接口,单击 修改 。
3选择 大于MTU 的发出数据包 。
HTTPS 允许安全 HTTPS 连接通过此接口连接到 基于 Web 的管理程序。
PING 如果您希望网络接口对PING 作出响应,选中此项。用于验证您的安装和测试。
HTTP 允许 HTTP 连接通过此接口连接到 基于 Web 的管理程序。 HT TP连接是不安全的,
可能被第三方所截获。
SSH 允许安全 SSH 连接通过此接口连接到 CLI。
SNMP 允许远程SNMP 管理者连接到这个接口请求SNMP 信息。见 第 135 页 “ 配置
SNMP” 。
TELNET 允许通过这个接口使用 CLI 的Telnet 连接。Telnet 连接是不安全的,可能被第三
方所截获。
注意:如果您的 ISP 使用 DHCP 为外部网络接口分配IP 地址,则不能把MTU 设置得小于576。因
为这是DHCP 通信的最小值。
注意:如果外部网络接口使用的是PPPoE,您无法设置 MTU 的大小,因为PPPoE 协议将配置最优
的MTU 大小,并覆盖您的设置。